[Active Directory] 1편

※ AD에 대한 내용은 앞으로도 많이 나오겠지만 이번 편에서는 간단한 기본 개념만 짚고 넘어가겠습니다! Active Directory 2편 ← 클릭

 

* Windows Server 3가지 유형

 - Standalone : 독립 실행형 (로컬 로그인만 가능)

 - Domain Member : 도메인에 가입한 Server(로컬, 도메인 로그인 가능), DC의 자원(사용자, 그룹, 컴퓨터 등을 가져다 쓰기 위해 사용)

 - Domain Controller : 도메인을 제어하는 Server (도메인 로그인만 가능)

 

* Directory Service

 - 네트워크 서비스의 일종으로 네트워크 자원(사용자 계정, 그룹 계정, 프린터 정보, 컴퓨터 정보 등)에 접근하여 관리를 용이하게 하는 서비스를 말한다. 

 - Active Directory란 MS Windows Server에서 제공하는 Directory Service를 말한다.

출처 : https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc780036(v=ws.10)

 

* Active Directory

 - 기본적으로 AD라고 하면 AD DS를 지칭함

 - AD를 깔면 DNS가 자동으로 깔린다. 왜냐면 도메인에 가입되어서 도메인 계정으로 로그인할 때 Netbios\administrator 이런 식으로 가입하지 1.1.1.1\administrator 이런 식으로는 못한다. 그러니까 아래와 같이 babo에 로그인을 하면 1.1.1.1에 로그인을 하는구나 라는 것을 인식하고 로그인이 된다. (이해가 안되면 DNS부터 공부하자!)

babo 도메인의 관리자 계정으로 로그인

 

* AD를 사용하는 이유

 - AD는 사용자, 컴퓨터 등 자원들을 개체로 표현하고 관리를 하는데 사용자나 컴퓨터 등의 개체가 얼마 되지 않는다면 AD를 사용할 필요가 없겠지만, 이러한 개체들이 많아지고 모든 개체를 관리하기를 원한다면 중앙에서 관리하는 서비스가 필요하기 때문에 AD를 사용한다.

 - 중앙화 디렉터리 : AD 환경에 클라이언트를 가입시켜 클라이언트의 그룹 정책을 반영해 중앙에서 손쉽게 관리할 수 있다.

AD환경 토폴로지

 

* AD 역할

 - 사용자, 그룹, 컴퓨터에 대한 통합 관리

 - 모든 사용자 개체에 대한 보안정책을 적용

 - 공유된 네트워크 자원을 접근, 할당하는 기능

 - 그룹 관리 및 그룹에 보안 설정 기능

 - AD를 사용하는 애플리케이션에 대해 디렉터리 서비스 제공

 

* AD 인증

 - AD는 서버와 클라이언트 간에 인증을 제공하기 위해 Kerberos 버전 5를 인증 프로토콜로 사용한다.

 

* SYSVOL

 - C:\Windows\SYSVOL폴더 안에 DC의 정보가 모두 들어있다. (이 폴더는 항상 백업함)

 

* SSO(Single Sign-On) Access

 - 해당 계정으로 인증을 한 번만 해서 인프라를 이용할 수 있게 한다. (중앙 인증 서비스)

 - 도메인이 없는 환경을 작업 그룹이라고 칭하는데 서버의 개수나 사용자의 명수가 많아지면 각 서버에 저장된 계정을 다 알고 있어야 되는 단점을 완화해준다.

 

* 인증(Authentication)

 - 네트워크 내 사용자 ID를 확인하는 작업을 의미한다.

① 직접 로그온 : 자신이 사용하고자 하는 컴퓨터에 계정과 패스워드를 넣어 로그인하는 방식

② 네트워크 인증 : 본인 것이 아닌, 다른 컴퓨터나 네트워크 내에 있는 자원 접속을 할 때 내가 누구인지 확인하는 방식

 - AD는 서버와 클라이언트간에 인증을 제공하기 위해 Kerberos 버전 5를 인증 프로토콜로 사용한다.

 

* 허가(Authorization)

 - 인증된 사용자가 행하는 특정 작업에 대해 가능한지를 확인하는 작업을 의미한다.

 

* SID(Security Identifiers)

 - 계정의 이름이나 형태와 같이 중복된 사용자가 나올 수 있는데, 이 경우에는 계정마다 주어지는 고유번호인 SID를 이용하여 구분한다.

 + AD는 사용자나 그룹을 구분할 때 계정의 이름이나 그룹의 이름을 이용하지 않고 사용자 또는 그룹에 매핑된 SID를 이용해 사용자를 식별한다.

 

+ 내가 누구인지를 증명하는 작업을 인증이라고 하고, 내가 누구인데 내가 어떤 것에 대해 쓸 수 있는지 확인하는 작업을 허가라고 한다.